BlackShrantac Ransomware
BlackShrantac Hacking Team
(группа хакеров-вымогатель) (первоисточник на русском)
Translation into English
---
Обнаружения (не образов):
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---
© Генеалогия: родство выясняется >> BlackShrantac
Информация для идентификации
Ранняя активность этого крипто-вымогателя была в сентябре-октябре и продолжилась в ноябре 2025 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Судя по сайту вымогателей, среди пострадавших были компании в США, Мексике, Индии, Турции, Египте, ОАЕ, Болгарии, Сенегале, Малайзии и др. странах.
Эта группа хакеров-вымогателей сосредоточена исключительно на краже больших объемов данных в целях вымогательства, не используя традиционные методы шифрования файлов.
Фирменная тактика группы — сбор и размещение больших объёмов данных с последующей масштабной эксфильтрацией. Таким образом, основным признаком взлома является не вредоносный двоичный файл, а обнаружение аномальных исходящих передач больших объёмов данных.
Для выполнения атак группа использует интерпретаторы командной строки, такие как PowerShell, командная оболочка Windows и Bash (T1059.001, T1059.003, T1059.004). Атаки BlackShrantac включают фишинг с вредоносными вложениями (MITRE T1566.001) и компрометацию цепочки поставок (T1195.002) для первоначального доступа. Устойчивости добиваются с помощью таких методов, как создание запланированных задач или изменение ключей запуска реестра и папок автозагрузки (T1547.001, T1053.005).
Оперативные возможности хакерской группы продемонстрированы в атаках на Klingenberg Industries в Индии, где было украдено 2 ТБ данных, и на Altas Food and Drinks в Турции, где было украдено 600 ГБ. Эти атаки демонстрируют ориентацию на цели с большим объемом данных, независимо от отрасли или местоположения.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tox: EFE1A6E5C8AF91FB1EA3A170823F5E69A85F866CF33A4370EC467474916941042E29C2EA4930
Tor-URL: hxxx://b2ykcy2gcug4gnccm6hnrb5xapnresmyjjqgvhafaypppwgo4feixwyd.onion
hxxx://jvkpexgkuaw5toiph7fbgucycvnafaqmfvakymfh5pdxepvahw3xryqd.onion
Email: -
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -
Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновлений не было или не добавлены.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***
Thanks: *** Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
